Grupos de usuarios y roles de gestión de identidades y accesos recomendados para la IA generativa

En la siguiente tabla se describen los roles de Gestión de Identidades y Accesos (IAM) que recomendamos como punto de partida para ejecutar cargas de trabajo de IA generativa enGoogle Cloud. Configura tus roles de gestión de identidades y accesos para implementar la separación de tareas en tu entorno y para adaptarlos a tu tolerancia al riesgo y a tu estructura organizativa.

Cuando asignes estos roles a los grupos de usuarios de tu organización, ten en cuenta dónde necesitas aplicar roles más específicos para abordar casos prácticos de IA generativa y requisitos de acceso a datos concretos. En los entornos en los que se usan datos muy sensibles para entrenar modelos, consulte el artículo Importar datos en un almacén de datos de BigQuery seguro para obtener más información sobre los roles que puede usar para permitir el acceso a los datos almacenados.

En la siguiente tabla se describen las recomendaciones de roles. Aplica recomendaciones básicas a todas las cargas de trabajo de IA generativa y recomendaciones específicas de Vertex AI a las cargas de trabajo de IA generativa que usen Vertex AI.

Servicio Grupo Descripción Roles de gestión de identidades y accesos

Foundational

grp-gcp-org-admin

Este grupo administra los recursos que pertenecen a la organización. Asigna este rol con moderación. Los administradores de la organización tienen acceso a todos tus Google Cloud recursos. Como alternativa, y dado que esta función tiene muchos privilegios, te recomendamos que uses cuentas individuales en lugar de crear un grupo.
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de carpetas (roles/resourcemanager.folderAdmin)
  • Creador del proyecto (roles/resourcemanager.projectCreator)
  • Usuario de cuenta de facturación (roles/billing.user)
  • Administrador de roles de la organización (roles/iam.organizationRoleAdmin)
  • Administrador de políticas de organización (roles/orgpolicy.policyAdmin)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Administrador de cuentas de asistencia (roles/cloudsupport.admin)

Foundational

grp-gcp-network-admins

Este grupo puede crear redes, subredes, reglas de cortafuegos y dispositivos de red, como Cloud Router, Cloud VPN y balanceadores de carga de Cloud.
  • Administrador de red de Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartidas de Compute (roles/compute.xpnAdmin)
  • Administrador de seguridad de Compute (roles/compute.securityAdmin)
  • Lector de carpetas (roles/resourcemanager.folderViewer)

Foundational

grp-gcp-billing-admin

Este grupo configura cuentas de facturación y monitoriza el uso que se les da.
  • Administrador de cuenta de facturación (roles/billing.admin)
  • Creador de cuentas de facturación (roles/billing.creator)
  • Lector de organización (roles/resourcemanager.organizationViewer)

Foundational

grp-gcp-security-admins

Este grupo establece y gestiona las políticas de seguridad de toda la organización, entre las que se incluyen las políticas de gestión de acceso y las de restricciones de organizaciones. Para planificar tu Google Cloud infraestructura de seguridad, consulta el plano de aspectos básicos de las empresas.
  • Lector de datos de BigQuery (roles/bigquery.dataViewer)
  • Lector de Compute (roles/compute.viewer)
  • Administrador de gestión de identidades y accesos de carpetas (roles/resourcemanager.folderIamAdmin)
  • Lector de Kubernetes Engine (roles/container.viewer)
  • Editor de configuración de registros (roles/logging.configWriter)
  • Lector de roles de la organización (roles/iam.organizationRoleViewer)
  • Administrador de políticas de organización (roles/orgpolicy.policyAdmin)
  • Lector de políticas de organización (roles/orgpolicy.policyViewer)
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Revisor de seguridad (roles/iam.securityReviewer)

Foundational

grp-gcp-billing-viewer

Este grupo monitoriza el gasto de los proyectos. Normalmente, los miembros del grupo forman parte del equipo de finanzas.
  • Lector de cuenta de facturación (roles/billing.viewer)

Foundational

grp-gcp-platform-viewer

Este grupo revisa la información de los recursos de toda la organización de Google Cloud.
  • Lector (roles/viewer)

Foundational

grp-gcp-security-reviewer

Este grupo revisa la seguridad en la nube.
  • Revisor de seguridad (roles/iam.securityReviewer)

Foundational

grp-gcp-network-viewer

Este grupo revisa las configuraciones de red.
  • Lector de red de Compute (roles/compute.networkViewer)

Foundational

grp-gcp-audit-viewer

Este grupo puede ver los registros de auditoría.
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Lector (roles/viewer)

Foundational

grp-gcp-scc-admin

Este grupo administra Security Command Center.
  • Administrador del centro de seguridad (roles/securitycenter.admin)

Foundational

grp-gcp-secrets-admin

Este grupo gestiona los secretos en Secret Manager.
  • Administrador de Secret Manager (roles/secretmanager.admin)

Administradores de Vertex AI

grp-gcp-vertex-ai-admin

Este grupo tiene acceso completo a todos los recursos de Vertex AI.
  • Administrador de Vertex AI (roles/aiplatform.admin))

Lectores de Vertex AI

grp-gcp-vertex-ai-viewer

Este grupo puede ver todos los recursos de Vertex AI.
  • Lector de Vertex AI (roles/aiplatform.viewer)

Usuarios de Vertex AI

grp-gcp-vertex-ai-user

Este grupo usa todos los recursos de Vertex AI.
  • Usuario de Vertex AI (roles/aiplatform.user)

Administradores de Vertex AI Workbench

grp-gcp-vertex-ai-notebook-admin

Este grupo tiene acceso completo a todas las plantillas de tiempo de ejecución y los tiempos de ejecución de Vertex AI Workbench.
  • Administrador de Notebook Runtime (roles/aiplatform.notebookRuntimeAdmin)

Usuarios de Vertex AI Workbench

grp-gcp-vertex-ai-notebook-user

Este grupo crea recursos de tiempo de ejecución mediante una plantilla de tiempo de ejecución y gestiona los recursos de tiempo de ejecución que ha creado.
  • Usuario de tiempo de ejecución de Notebook (roles/aiplatform.notebookRuntimeUser)

Siguientes pasos